Trocha na osvieženie, kvízová otázka:
V slovenskom eGov je momentálne evidovaných 2522 koncových (elektronických) služieb. Koľko z nich používa na autorizáciu KEP a koľko iný mechanizmus?
(Odpoveď sa dá nájsť aj tu na platforme.)
Skusim napisat svoj nazor:
kvalifikovany podpis ma tiez svoje obmedzenia. Jednym z nich je to ze slabinou ochrany privatneho kluca je prave ta ochrana.
T.j. Musim si niekde na papieriku ulozit PIN, resp. ak si aj PIN pamatam tak PUK.
Cize vlastnorucnost podpisu potom uz nespociva iba na mojej voli, ale na drzani mojej eID karty a zoznamenia sa s tymto papierikom. Takze skustocne sa moze teoreticky stat ze mi niekto na chvilu zoberie kartu a pouzije zapisany PIN, alebo PUK.
Preto osvedceny podpis kedy by som navstivil notara a on by po overeni mojej totoznosti svojim KEPom prepodpisal mnou podpisany dokument by mohlo by riesenim tejto “bezpecnostnej” slabiny KEPu.
Vnútroštátne riešenia sú absolútnou slepou ulicou a z dlhodobého horizontu úplne vyhodenými peniazmi do luftu. To čo nepochopiteľne navrhuješ je digitálne oplotenie Slovenska.
Máme harmonizovanú úpravu, treba ju využiť a nie vymýšľať chobotiny.
Nikto nikomu nebráni využívať nedôveryhodné služby ako napr. e-mail, objednávky/registrácie v eshopoch a pod. Aj cez email môžeš poslať dokument s kvalifikovaným podpisom na opačný koniec Európy. A musia ti ho prijať. Pred eIDASom si tuto možnosť vôbec nemal. Neboli uzatvorené dohody medzi štátmi, dokonca ani medzi Slovenskom a ČR. Dnes je situácia úplne iná.
Na uzatvorenie kupnej zmluvy nepotrebujem dôveryhodnú službu. Preto kúpnu zmluvu môžeš uzatvoriť aj klikom na Amazone, aliexprese, Alze alebo Mall, jednoducho doručenie a zaplatením tovaru je zmluvy uzatvorená. Aj dnes keď ideš do obchodu kúpiť nákup, tak ti stačí zaplatiť za tovar a uzatváraš kúpnu zmluvu. Nepotrebuješ žiadnu dôveryhodnú službu. Naozaj to nie je raketová veda. Ale keď budeš chcieť nakúpiť tovar na úver, tak si asi strany budú chcieť dôverovať a budú potrebovať dôveryhodnú službu.
čo na to CEP a jeho “overovanie” ?
Oplotenie Slovenska pre vnutrostatne podania na urady myslis? 
A co takto opacna uvaha? Nech si kto potrebuje komunikovat mimo SR pouziva eIDASove KEPy a komu staci autorizacia klikom vnutrostatne nech pouziva to. Dovolim si tvrdit, ze CBA vyjde uplne presne naopak. Vyuzivam el. sluzby ovela ovela castejsie ako bezny obcan a este nikdy v zivote som nepotreboval ziadne podanie na nase urady posielat nikam “von”.
Chapem, ze dodavatelia KEPovin maju velky zaujem predavat svoje produkty, ale asi by sme sa nemali schovavat za “interoperabilitu”, ktorej pridana hodnota je pre vnutrostatne podania naozaj velmi otazna.
1 Like
momentalne je interoperability pri QES v podstate nedosiahnutá. Nakoľko kvalifikovanou službou nie je podpis, ale overovanie. A detaily kvalifikovaného overovania ešte neboli harmonizvane na úrovni eIDAS. To znamená, že napríklad slovenskká schéma dohľadu, a česká schéma, alebo rakúska sa líšia. A tým sa líši aj predpísaný výstup z povinného Reportu z Overenia podpisu v jedntlivých krajinách. Pokiaľ eIDAS toto nezjednotí, tak nebudeš môcť overenie v českej kvalifikovanej službe overenia použiť na slovenskom úrade, nakoľko nesedí predpísaný výstup. Momentálne ta iniciatíva beží, ale na môj vkus je straaaaaašne pomalá a jej výsledok je v nedohľadne. Možno niekto vie, či a kedy sa dá očakávať výsledok. Samozrejme tam kde sa spoliehajúca sa strana zaobíjde s nekvalifikovanou dôveryhodnou službou, tam je to OK, lebo jednoslovný výstup z overenia má 3 možné hodnoty všade…
Okrem toho vyhodnocovanie niečoho iného ako PAdES je a bude asi vždy národným špecifikom.
1 Like
Článok 28
…
2. Kvalifikované certifikáty pre elektronické podpisy nesmú podliehať žiadnym povinným požiadavkám nad rámec požiadaviek stanovených v prílohe I.
Nevšimol som si, že by sme si obrazne povedané “pridali” po písmene “j” uvedených požiadaviek aj ďalšie písmená “k”, “l”, “m” atď.
Slovo “aspoň” v písmene c) je v zmysle minimálne…
v tom istom článku v bode 3 sa tiež hovorí:
3. Kvalifikované certifikáty pre elektronické podpisy môžu obsahovať nepovinné dodatočné osobitné atribúty. Uvedené atribúty nesmú mať vplyv na interoperabilitu a uznávanie kvalifikovaných elektronických podpisov.
Čiže ako hovorím: je zakázané predpísať povinné identifikátory. Nie je žiadna schéma umožňujúcu interoperabilne poriadne určiť identitu podpisovateľa iba pomocou certifikátu a žiadne dodatočné procesy tiež nie sú.
Ja to takto nečítam.
Čítam to tak, že sa má uviesť aspoň meno podpisujúceho, teda určite minimálne meno, avšak aj viac údajov a nikde sa nehovorí, že to nemôže byť RČ…
S tymto musim suhlasit. Pre zaujimavost uvediem ze sme niekedy v zaciatku roka komunikovali so svetovo znamym vyrobcom podpisovych komponent, ktory ma z toho ako jednotlive staty ponali ADES formaty celkom chaos. V novej generacii komponent uvazuje nad tym ze jednym z parametrov pri vytvarani podpisu bude krajina pre ktoru sa tento podpis vyhotovuje. To svedci o tom ze niekde je nieco v neporiadku, ked samotne standardy nas zacinaju rozdelovat miesto aby na spajali .
Samozrejme že RČ je iba fakultatívny atribút kvalifikovaného certifikátu pre epodpis. Inak by to narážalo na ochranu osobných údajov. To znamená že FO, ktorej je certifikát vydávaný a na ktorú je naviazaný musí s uvedením rodného čísla súhlasiť - prakticky musí súhlasiť, že kazdy podpis bude mat jeho rodné číslo. Povinné sú iba Id certifikatu a meno/ pseudonym
Ako zdôvodnenie sa uvádzalo, že pri autorizácii iné osobné údaje ako meno/pseudonym sa v zasade nemajú použiť. Ani pri podpise listinných zmlúv sa nepodpisujeme rodným číslom.
Naopak kvalifikované certifikáty pre epečať majú povinný parameter IČO.
Rodné číslo je možné použiť pri kvalifikovanom certifikáte pre autentifikáciu, ktorým sa prihlasujeme do dôveryhodných služieb, nakoľko sa rodné číslo nezverejňuje.
Odporucam ti sa prihlasit na rpo.statistics.sk cez EID, vyziadat si vypis na pravne ucely a uvidis RC konatela lubovolnej firmy.
Kedysi ked sa certifikovalo tak sucastou podpisovaca bol tzv. bezpecny prehliadac a pri certifikacii sa preverovalo ci zobrazuje presne to co sa podpisuje. To vypadlo zo zakona a obcan musi verit podpisovacu. Nic ine mu nezostava.
Teraz ako obcan podpisujuci KEPom musis doverovat podpisovaciemu softveru ze ked si das zobrazit pred podpisom to co podpisujes ze je to presne to co bude aj v podpise (skor teoreticka zranitelnost) a zaroven musis doverovat ze podpisovaci softver vyrobi kvalifikovany podpis v sulade so standardami a zaroven ze tento bude overitelny vo vsetkych relevantnych overovacoch. A toto uz neni ako som uviedol priklad mena suboru v asiku ziadna teoreticka moznost toto je prax objavujuca sa aj v podmienkach UPVS.
Napr. aj sofverom ktory nikdy nebol urceny na kvalifikovany podpis ked podpises kval. certifikatom tak vznikol kep-jeho autor napr. nikdy nechcel robit kvalifikovany podpis a nestaral sa o podrobnosti. Ak noriem neznaly programator vytvori program vznikne tiez KEP a ked ho skusis overit naraz zistis ze ho overovac odmietne spracovat.
Preto treba pouzivat iba overene aplikacie u ktorych je istejsie ze ich vystupom je podpisany subor ktory splna vsetky poziadavky.
Spominam to tu len preto aby sme pripomenuli ze aj KEP ma svoje “muchy”
1 Like
Ako vidiet v tomto vlakne. Otvorena diskusia je dobra vec, ale bez mnanazovania nikam nevedie. Slovensko by nemalo vymyslat vlastne riesenia na to co sa minimalne v EU riesi. Autorizacia, autentifikacia, podpisovanie atd. su univerzalne veci. Je jedno ci sa autorizujem, podpisujem na Slovensku alebo inde vo svete, moj podpsi ma byt platny nie na jednom dokument, nie pre jednu instituciu, nie pre jedne stat, ale bud je platny alebo neplatny. Diskusia v tomto vlakne je bohata, protireciaca, nic neriesiaca a nikam nespeje, najlepsie by bol,o vlakno zavriet (zdruzenie ani nema opravnenie tieto veci riesit, co je plkatny podpis pre pravne ucely moze riesit len zakon anie informatik, twen moz byt konzultant pri tvorbe zakona
Mozna by nam viac svetla vniesla informacia, ze u kolkych z tychto 2522 sluzieb nejaky zakon vyzaduje vlastnorucny, alebo osvedceny podpis. (myslim u podani, kedze uradne dokumenty o tom asi nehovorime)
Dá sa povedat kolko z toho je podani? //upresnene
Lebo mozno to ze podpisujeme formular KEPom este neznamena ze tam KEP musi bezpodmienecne byt.
Este som asi nezazil papierove konanie (vybavovane na dialku - postou), kde by podpis nebolo treba. Takze tipujem minimum. [edit: …nebude vyzadovat]
OK v papierovom svete je to tak tam ina moznost nebola. V elektronickom by u niektorych podani mozno postacovalo aj inak nez KEP.
Pokiaľ dovidím, toto sa neeviduje (škoda).
Je tam info, aká je “vyžadovaná úroveň autentifikácie”, ale nedá sa cez to nejako efektívne filtrovať, čiže ani rýchlo spočítať koľko vyžaduje level 4 (to je eID).
Taktiež nie. Resp. ani si nie som istý či “podanie” má úplne jednoznačný význam.
K pôvodnému kvízu - koľko z tých služieb používa KEP: nejaké tipy?
Vlastnoručný podpis vyžadujú všetky procesné predpisy. Osvedčený podpis sa vyžaduje iba pri sprísnených úkonoch.
Preto nestačil obyčajný email, fax, dalekopis a musel si podanie v lehote 3 dní dopĺňať.
Podľa mňa sa tiež diskusia uberá nesprávnym smerom. Skôr by sme mali uvažovať nad šifrovaním v PKI ako čo najskôr zmeniť RSA za EEC, ako zabezpečiť, aby občianske preukazy mali NFC a aplikácie na epodpisovanie podporovali iOS a Android.
Keďže sa už nielen hovorí o kvantovej nadvláde, diskusia o elektronických osvedčených podpisoch je smiešna.